Sdílet prostřednictvím

Příloha F: Zabezpečení skupin domain admins ve službě Active Directory

Příloha F: Zabezpečení skupin domain admins ve službě Active Directory

Stejně jako u skupiny Enterprise Admins (EA) by se členství ve skupině Domain Admins (DA) mělo vyžadovat jenom ve scénářích sestavení nebo zotavení po havárii. Ve skupině DA by neměly existovat žádné každodenní uživatelské účty s výjimkou předdefinovaného účtu správce domény, pokud je zabezpečený, jak je popsáno v dodatku D: Zabezpečení účtů správce Built-In ve službě Active Directory.

Správci domény jsou ve výchozím nastavení členy místních skupin Administrators na všech členských serverech a pracovních stanicích v příslušných doménách. Toto výchozí vnoření by se nemělo upravovat pro účely podpory a zotavení po havárii. Pokud byli správci domény odebráni z místních skupin Administrators na členských serverech, měla by být skupina přidána do skupiny Administrators na každém členském serveru a pracovní stanici v doméně. Skupina Domain Admins každé domény by měla být zabezpečená, jak je popsáno v podrobných pokynech, které následují.

Pro skupinu Domain Admins v každé doméně v lesu domén:

  1. Odeberte všechny členy ze skupiny s možnou výjimkou předdefinovaného účtu správce domény za předpokladu, že je zabezpečený, jak je popsáno v dodatku D: Zabezpečení účtů správce Built-In ve službě Active Directory.

  2. V objektech zásad skupiny propojených na organizační jednotky obsahující členské servery a pracovní stanice v každé doméně by měla být skupina DA přidána do následujících uživatelských práv v Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásady\Přiřazení uživatelských práv:

    • Odepřít přístup k tomuto počítači ze sítě

    • Odepřít přihlášení jako dávkovou úlohu

    • Odepřít přihlášení jako službu

    • Místní odepření přihlášení

    • Odepřít přihlášení prostřednictvím uživatelských práv služby Vzdálená plocha

  3. Auditování by mělo být nakonfigurováno tak, aby odesílala výstrahy, pokud jsou provedeny nějaké změny vlastností nebo členství ve skupině Domain Admins.

Podrobné pokyny pro odebrání všech členů ze skupiny Domain Admins

  1. Ve Správce serveruklikněte na Nástrojea klikněte na Uživatelé a počítače služby Active Directory.

  2. Pokud chcete odebrat všechny členy ze skupiny DA, proveďte následující kroky:

    1. Poklikejte na skupinu Domain Admins a klikněte na kartu Členové.

      Snímek obrazovky ukazující kartu Členové pro odebrání všech členů ze skupiny Domain Admins.

    2. Vyberte člena skupiny, klepněte na tlačítko Odebrat, klepněte na tlačítko Anoa klepněte na tlačítko OK.

  3. Opakujte krok 2, dokud nebudou odebráni všichni členové skupiny DA.

Podrobné pokyny pro zabezpečení správců domény ve službě Active Directory

  1. V Správce serveruklepněte na Nástrojea klepněte na Správa zásad skupiny.

  2. Ve stromu konzoly rozbalte <Les>\Domains\<Doména>a pak Objekty zásad skupiny (kde <Les> je název lesa a <Doména> je název domény, ve které chcete nastavit zásady skupiny).

  3. Ve stromu konzoly klikněte pravým tlačítkem na Objekty zásad skupinya klikněte na Nový.

    Snímek obrazovky, který ukazuje, kde vybrat Nový, abyste mohli zabezpečit skupinu Domain Admins ve službě Active Directory.

  4. V dialogovém okně Nový objekt zásad skupiny zadejte <název objektu zásad skupiny>a klikněte na OK (kde <název objektu zásad skupiny> je název tohoto objektu zásad skupiny).

    snímek obrazovky, který ukazuje, kde pojmenovat objekt zásad zásad zabezpečení, abyste mohli zabezpečit správce domény ve službě Active Directory.

  5. V podokně podrobností klikněte pravým tlačítkem na <název GPO>a klikněte na Upravit.

  6. Přejděte na Konfigurace počítače\Zásady\Nastavení systému Windows\Nastavení zabezpečení\Místní zásadya klikněte na Přiřazení uživatelských práv.

    snímek obrazovky, který ukazuje, kam přejít, abyste mohli vybrat správce uživatelských práv pro zabezpečení správců domény ve službě Active Directory.

  7. Nakonfigurujte uživatelská práva, aby zabránili členům skupiny Domain Admins v přístupu k serverům a pracovním stanicím členů v síti následujícím způsobem:

    1. Poklikejte na Odepřít přístup k tomuto počítači ze sítě a vyberte Definovat tato nastavení zásad.

    2. Klikněte na Přidat uživatele nebo skupinu a klikněte na Procházet.

    3. Zadejte Domain Admins, klikněte na Ověřit názvya klikněte na OK.

      snímek obrazovky, který ukazuje, jak ověřit, že jste nakonfigurovali uživatelská práva, aby zabránili členům skupiny Domain Admins v přístupu k serverům a pracovním stanicím členů v síti.

    4. Klikněte na OKa OK znovu.

  8. Nakonfigurujte uživatelská práva tak, aby se členové skupiny DA nemohli přihlásit pro vykonávání dávkových úloh následujícím způsobem:

    1. Poklikejte na Odepřít přihlášení jako dávkovou úlohu a vyberte Definovat tato nastavení zásad.

    2. Klikněte na Přidat uživatele nebo skupinu a klikněte na Procházet.

    3. Zadejte Domain Admins, klikněte na Ověřit názvya klikněte na OK.

      snímek obrazovky, který ukazuje, jak ověřit, že jste nakonfigurovali uživatelská práva, aby se členové skupiny DA nemohli přihlásit jako dávková úloha.

    4. Klikněte na OKa OK znovu.

  9. Nakonfigurujte uživatelská práva, aby se členové skupiny DA nemohli přihlásit jako služba následujícím způsobem:

    1. Poklikejte na Odepřít přihlášení jako služba a vyberte Definovat tato nastavení zásad.

    2. Klikněte na Přidat uživatele nebo skupinu a klikněte na Procházet.

    3. Zadejte Domain Admins, klikněte na Kontrola názvůa klikněte na OK.

      Snímek obrazovky, který ukazuje, jak ověřit, že jste nakonfigurovali uživatelská práva tak, aby se členové skupiny DA nemohli přihlásit jako služba.

    4. Klikněte na OKa OK znovu.

  10. Nakonfigurujte uživatelská práva, aby se členové skupiny Domain Admins nemohli přihlásit místně k členským serverům a pracovním stanicím následujícím způsobem:

    1. Poklikejte na Odepřít místní přihlášení a vyberte Definovat tato nastavení zásad.

    2. Klikněte na Přidat Uživatele nebo Skupiny a klikněte na Procházet.

    3. ZadejteDomain Admins, klikněte na Ověření názvůa klikněte na OK.

      Snímek obrazovky, který ukazuje, jak ověřit, že jste nakonfigurovali uživatelská práva tak, aby se členové skupiny Domain Admins nemohli přihlásit místně k členským serverům a pracovním stanicím.

    4. Klikněte na OKa OK znovu.

  11. Nakonfigurujte uživatelská práva, aby zabránili členům skupiny Domain Admins v přístupu k členským serverům a pracovním stanicím přes Vzdálenou plochu následujícím způsobem:

    1. Poklikejte na Odepřít přihlášení prostřednictvím Služby vzdálené plochy a vyberte Definovat tato nastavení zásad.

    2. Klikněte na Přidat uživatele nebo skupinu a klikněte na Procházet.

    3. Zadejte Správci domény, klikněte na Ověřit názvya klikněte na OK.

      snímek obrazovky, který ukazuje, jak ověřit, že jste nakonfigurovali uživatelská práva, aby zabránili členům skupiny Domain Admins v přístupu k členským serverům a pracovním stanicím prostřednictvím služby Vzdálená plocha

    4. Klikněte na OKa OK znovu.

  12. Chcete-li ukončit editor správy zásad skupiny, klepněte na Soubora klepněte na tlačítko Ukončit.

  13. Ve správě zásad skupiny propojte objekt zásad skupiny s operačním systémem členských serverů a pracovních stanic následujícím způsobem:

    1. Přejděte do doménové struktury <>\Domains\<doména> (kde <doménová struktura> je název doménové struktury a <doména> je název domény, ve které chcete nastavit zásady skupiny).

    2. Klikněte pravým tlačítkem myši na organizační jednotku, na kterou se objekt zásad skupiny použije, a klikněte na Propojit existující objekt zásad skupiny.

      Snímek obrazovky, který zobrazuje možnost Propojit existující objekt zásad skupiny, když kliknete pravým tlačítkem myši na organizační jednotky, na kterou se objekt zásad skupiny použije.

    3. Vyberte objekt zásad skupiny, který jste právě vytvořili, a klikněte na OK.

      Snímek obrazovky ukazuje, kde vybrat GPO, které jste právě vytvořili, při propojování tohoto GPO s členským serverem.

    4. Vytvořte propojení na všechny ostatní organizační jednotky, které obsahují pracovní stanice.

    5. Vytvořte odkazy na všechny ostatní organizační jednotky, které obsahují členské servery.

      Důležitý

      Pokud se ke správě řadičů domény a služby Active Directory používají jump servery, ujistěte se, že se jump servery nacházejí v organizační jednotce, ke které tyto objekty zásad skupiny nejsou propojeny.

Postup ověření

Ověřte nastavení zásad skupiny pro "Odepřít přístup k tomuto počítači ze sítě".

Ze všech členských serverů nebo pracovních stanic, které nejsou ovlivněny změnami objektu zásad skupiny (například "jump server"), se pokuste o přístup k členskému serveru nebo pracovní stanici přes síť, která je ovlivněna změnami objektu zásad skupiny. Pokud chcete ověřit nastavení objektu zásad zabezpečení, pokuste se namapovat systémovou jednotku pomocí příkazu NET USE.

  1. Přihlaste se místně pomocí účtu, který je členem skupiny Domain Admins.

  2. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu ovládacích tlačítek klikněte na Hledat.

  3. Do pole Hledat zadejte Příkazový řádek, klikněte pravým tlačítkem na Příkazový řádeka potom zvolte Spustit jako správce pro otevření Příkazového řádku se zvýšenými oprávněními.

  4. Po zobrazení výzvy ke schválení zvýšení oprávnění klikněte na Ano.

    Snímek obrazovky, který ukazuje, kde schválit zvýšení oprávnění při ověřování nastavení GPO pro odmítnutí přístupu k síti tohoto počítače.

  5. V okně příkazového řádku zadejte net use \\Název serveru\c$, kde Název serveru je název členského serveru nebo pracovní stanice, ke které se pokoušíte získat přístup přes síť.

  6. Následující snímek obrazovky ukazuje chybovou zprávu, která by se měla zobrazit.

    snímek obrazovky, který zobrazuje chybovou zprávu, která by se měla zobrazit při pokusu o přístup k členskému serveru

Ověřte nastavení objektu zásad skupiny "Odepřít přihlášení jako dávková úloha".

Z jakéhokoli členského serveru nebo pracovní stanice, které byly ovlivněny změnami GPO, se přihlaste místně.

Vytvořte dávkový soubor

  1. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu tlačítek klikněte na Hledat.

  2. Do pole Hledat zadejte poznámkový bloka klikněte na Poznámkový blok.

  3. Do poznámkového blokuzadejte dir c:.

  4. Klepněte na Soubora klepněte na tlačítko Uložit jako.

  5. Do pole Název souboru zadejte.bat Název souboru (kde Název souboru je název nového dávkového souboru).

Naplánování úkolu

  1. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu ovládacích tlačítek klikněte na Hledat.

  2. Do vyhledávacího pole zadejte plánovač úloha klikněte na Plánovač úloh.

    Poznámka

    Na počítačích se systémem Windows 8 do pole Hledat zadejte naplánovat úlohya klikněte na Naplánovat úlohy.

  3. V nabídce Plánovač úloh klikněte na Akcea klikněte na Vytvořit úkol.

  4. V dialogovém okně Vytvoření úkolu zadejte <název úkolu> (kde <název úkolu> je název nového úkolu).

  5. Klikněte na kartu Akce a klikněte na Nový.

  6. V poli Akce vyberte možnost Spustit program.

  7. V části Program/skriptklikněte na Procházet, vyhledejte a vyberte dávkový soubor vytvořený v části Vytvořit dávkový soubor a klikněte na Otevřít.

  8. Klepněte na tlačítko OK.

  9. Klikněte na kartu Obecné.

  10. V části Možnosti zabezpečení klikněte na Změnit uživatele nebo skupinu.

  11. Zadejte název účtu, který je členem skupiny Domain Admins, klepněte na tlačítko Kontrola názvůa klepněte na tlačítko OK.

  12. Vyberte Spustit, i když je uživatel přihlášený, nebo není, a vyberte Neukládat heslo. Úkol bude mít pouze přístup k prostředkům místního počítače.

  13. Klepněte na tlačítko OK.

  14. Mělo by se zobrazit dialogové okno s žádostí o spuštění úlohy pomocí přihlašovacích údajů uživatelského účtu.

  15. Po zadání přihlašovacích údajů klikněte na OK.

  16. Mělo by se zobrazit dialogové okno podobné následujícímu.

    snímek obrazovky, který zobrazuje chybu, ke které by mělo dojít po zadání přihlašovacích údajů.

Ověřte nastavení objektu zásad skupinové politiky "Odepřít přihlášení jako služba".

  1. Z libovolného členového serveru nebo pracovní stanice ovlivněné změnami objektu zásad skupiny se přihlaste místně.

  2. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu ovládacích tlačítek klikněte na Hledat.

  3. Do pole Hledat zadejte službya klikněte na Služby.

  4. Vyhledejte a dvakrát klikněte na Print Spooler.

  5. Klikněte na kartu Přihlášení.

  6. V části Přihlásit jakovyberte možnost Tento účet.

  7. Klikněte na Procházet, zadejte název účtu, který je členem skupiny Domain Admins, klikněte na Zkontrolovat jménaa poté na OK.

  8. V části Heslo a Potvrdit heslozadejte heslo vybraného účtu a klikněte na OK.

  9. Klikněte na OK třikrát vícekrát.

  10. Klikněte pravým tlačítkem na Zařazování tisku a klikněte na Restartovat.

  11. Po restartování služby by se mělo zobrazit dialogové okno podobné následujícímu.

    Snímek obrazovky s dialogovým oknem, které se zobrazí po restartování služby

Vrácení změn do služby zařazování tiskáren

  1. Z libovolného členového serveru nebo pracovní stanice ovlivněné změnami objektu zásad skupiny se přihlaste místně.

  2. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu ovládacích tlačítek klikněte na Hledat.

  3. Do pole Hledat zadejte službya klikněte na Služby.

  4. Vyhledejte zařazování tisku a poklikejte na.

  5. Klikněte na kartu Přihlásit.

  6. V části Přihlásit jakovyberte účet Místní systém a klikněte na OK.

Ověřte nastavení GPO "Odepřít místní přihlášení".

  1. Ze všech členských serverů nebo pracovních stanic ovlivněných změnami objektu zásad skupiny se pokuste přihlásit místně pomocí účtu, který je členem skupiny Domain Admins. Mělo by se zobrazit dialogové okno podobné následujícímu.

    zabezpečení skupin správců domény

Ověřte nastavení zásady GPO „Odepřít přihlášení prostřednictvím služby Vzdálená plocha“

  1. Pomocí myši přesuňte ukazatel do pravého horního nebo pravého dolního rohu obrazovky. Po zobrazení panelu ovládacích tlačítek klikněte na Hledat.

  2. Do pole Hledat zadejte připojení ke vzdálené plošea klikněte na Připojení ke vzdálené ploše.

  3. Do pole Počítač zadejte název počítače, ke kterému se chcete připojit, a klikněte na Připojit. (Můžete také zadat IP adresu místo názvu počítače.)

  4. Po zobrazení výzvy zadejte přihlašovací údaje pro účet, který je členem skupiny Domain Admins.

  5. Mělo by se zobrazit dialogové okno podobné následujícímu.

    Snímek obrazovky, který ukazuje zprávu, že metoda přihlášení, kterou používáte, není povolena.